#CyberFiles: Duqu, virusul care a intrat pe usa din fata a celor de la Kaspersky

Botezat Duqu de catre creatorii lui Stuxnet, acest virus informatic iese in evidenta prin faptul ca, in varianta cu nume de cod Duqu 2, a avut curajul sa intre pe "usa cibernetica" a celor de la Kaspersky cu scopul de a extrage informatii sensibile. Versiunea initiala, aparuta la finalul anului 2007 a utilizat platforma Tilded pentru a se infiltra in retelele vulnerabile.

Inceputurile lui Duqu

Platforma folosita pentru a implementa malware-ul Duqu, dar si Stuxnet, se numea Tilded si a fost creata undeva la finele anului 2007, dar sunt informatii care dau ca data de debut inceputul anului 2008. Tilded a suferit, insa, importante modificari in vara/toamna anului 2010, acestea fiind necesare pentru a evita detectia din partea solutiilor antivirus.

Conform datelor centralizate de catre expertii Kaspersky, in perioada 2007 - 2011 au fost semnalate mai multe actiuni care au implicat programe bazate pe platforma Tilded, iar Stuxnet si Duqu au fost doua dintre acestea. In fapt, platforma este un driver care incarca un modul principal, conceput ca o arhiva criptata. "In acelasi timp, exista un fisier separat de configurare pentru tot programul malware si un block criptat in registrul sistemului", sustin specialistii.

Nu mai devreme de sfarsitul anului 2011, autorii Duqu si Stuxnet au incercat sa elimine toate urmele activitatii lor si au sters toate serverele pe care le-au folosit din 2009 si chiar mai devreme. Procesul de curatare a avut loc pe 20 octombrie 2011.

Detectat in 2010, virusul Stuxnet a infectat un software Siemens de control al automatelor industriale foarte utilizat in sectoarele apei, platformelor petroliere si centralelor electrice.

Stergerea urmelor si revenirea in joc

Dupa procesul de stergere a tuturor urmelor, creatorii Duqu nu au mai dat vreun semn de viata aproape un an, pana cand Symantec a descoperit un nou driver "in-the-wild', foarte asemanator cu fisierele Duqu deja cunoscute. Driver-ul folosit pentru intermediere fusese compilat pe 23 februarie 2012 si nu avea functii noi fata de versiunile anterioare, principalele modificari fiind facute pentru a evita detectia de catre programele antivirus.

Revenirea a confirmat ipotezele Kaspersky conform carora, atunci cand investesti atat de multi bani, nu poti opri activitatea, ci faci toate eforturile pentru a nu fi prins. Cu aproape 50 de victime in intreaga lume, Duqu ramane unul dintre cei mai misteriosi troieni descoperiti vreodata, iar faptul ca a vizat Iranul este semn ca atacatorul are o agenda clar stabilita si ca tine foarte mult sa nu fie detectat. Acest fapt este indicat de straturile numeroase de criptare si tentative de a pacali sistemele de detectie.

In aprilie 2015, este descoperit Duqu 2.0 - o platforma malware foarte complexa care exploateaza trei vulnerabilitati, iar infectarile sunt legate de evenimente P5+1 si de locuri unde au loc intalniri la nivel inalt intre liderii mondiali. Astfel, au fost descoperite victime dintr-o zona geografica extinsa, de la tari occidentale, pana la Orientul Mijlociu si Asia. Atacurile au inclus o serie de caracteristici nemaivazute pana in acel moment, cum ar fi, de exemplu, codul care exista doar in memoria operativa. Acesta aproape ca nu lasa nicio urma.

Duqu 2 a afectat inclusiv sistemele companiei Kaspersky, intruziunea fiind descoperita in timpul unei verificari, care a dezvaluit faptul ca este vorba despre o noua platforma malware a gruparii Duqu, care nu mai daduse niciun semn ca ar fi activa din 2012 si despre se credea ca si-a intrerupt activitatea.

De altfel, despre ce batai de cap a dat Duqu 2 celor de la Kaspersky, ne-a povestit Costin Raiu, directorul echipei globale de cercetare si analiza din cadrul companiei.

"Duqu 2 l-am descoperit ca malware in firma noastra. Cineva care sa aiba curajul sa atace o firma de antivirusi cu un malware, e un lucru surprinzator in sine. Mi-amintesc ca totul a inceput in 2015, in aprilie (...) Noaptea tarziu am primit un mesaj de la unul dintre colegii mei ca e o situatie foarte periculoasa si ca avem o infectie in firma. Cum colegul respectiv uneori mai face glume, m-am gandit ca despre asta ar fi vorba. A doua zi, pe la 6:30, am deschis computerul si colegul meu era online, ceea ce nu se intampla de obicei la acea ora. L-am intrebat ce a patit si el a raspuns ca in firma a fost descoperita o infectie informatica... La inceput, dupa ce am inceput sa ne uitam pe date, am crezut ca, din greseala, cineva a lansat un virus si i-a scapat de sub control. Nu mi-am imaginat ca cineva ne-ar tinti pe noi direct. Ulterior, am vazut cat de sofisticat este... ", povesteste Raiu.

Expertul a vorbit si despre modul in care atacatorii au actionat: "Modul in care s-a intamplat a fost foarte interesant: au folosit trei 'Zero-day', exploituri pentru care nu exista patch de la Microsoft. Un exploit de genul acesta costa sute de mii de dolari, iar cine a lansat atacul a investit usor jumatate de milion de dolari pentru a o obtine acces in firma. Ne-a luat aproximativ o luna sa analizam tot ce s-a intamplat (...)", a spus Costin Raiu.

Duqu 2 nu s-a multumit doar cu atacarea companiei Kaspersky, datele centralizate ulterior indicand faptul ca victime au mai fost hoteluri din Geneva, Lagarul Auschwitz Birkenau, precum si alte firme.

Atacuri tintite in tari din Europa pana in Asia

La cateva luni dupa descoperirea lui Duqu, specialistii de la Symantec anuntau, in noiembrie 2011, ca noul virus informatic, comparabil ca forta cu Stuxnet, autor mai ales al unor atacuri contra programului nuclear iranian, a fost detectat in opt tari: Franta, Olanda, Elvetia, Ucraina, India, Iran, Sudan si Vietnam.

In plus fata de prezenta sa constatata in cele opt state, Symantec a anuntat "rapoarte neconfirmate" despre posibile contaminari de catre Duqu in alte patru tari, precum Marea Britanie, Austria, Ungaria si Indonezia. Expertii notau, la vremea respectiva, ca Duqu poate profita de o lacuna in securitatea sistemului de operare Windows pentru a se instala intr-un calculator ascunzandu-se intr-un document Word, procesorul de text al gigantului american de software Microsoft.

La scurt timp dupa detectarea lui Duqu, compania Bitdefender anunta lansarea unui utilitar de dezinfectie. Solutia era destinata stoparii actiunilor familiei agresive de malware de tip rootkit (programe ce permit controlul de la distanta al unui calculator infectat), ce avea la baza codul sursa al Stuxnet.

"Noua amenintare, supranumita Rootkit.Duqu.A, contine multe dintre functiile rootkit-ului Stuxnet, banuit ca ar fi fost folosit in diverse actiuni de spionaj industrial. Stuxnet are la baza o componenta keylogger, care sta ascunsa in sisteme compromise si aduna informatii de la acestea, inregistrand tot ceea ce este scris de la tastatura, de la site-urile accesate, pana la parole si nume de inregistrare ale conturilor online. Rootkit.Duqu.A este bazat pe tehnologii relativ vechi, dar infectiile cu acest tip de amenintare pot duce la pierderea informatiilor confidentiale, furt de proprietate intelectuala sau alte riscuri asociate cu prezenta unui program de tip keylogger in sistem", precizau expertii Bitdefender.

Povestea lui Duqu, urmasul celebrului Stuxnet, a scos la iveala vulnerabilitatile din sectorul industrial, de la vremea respectiva. Practic, troianul a avut drept scop sa colecteze date si alte informatii de la entitati precum fabricantii de sisteme de control din industrie, cu scopul de a lansa cu mai multa usurinta atacuri impotriva unor terte parti.

Cel mai probabil, hackerii sunt in cautarea unor planuri de conceptie mult mai sofisticate ce i-ar putea ajuta sa atace instalatii de control industrial, iar companiile specializate in detectarea unor astfel de amenintari nu au de gand sa stea cu mainile in san si pregatesc in propriile laboratoare elemente de reactie performante. Cert este ca amenintarea cibernetica va continua sa existe...